こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- 2008年から国内・海外ETF、つみたてNISA、iDeCoなどでインデックス投資をしています。
- 2020年より米国株オプション、サラリーマン大家、副業ブログを実験中です。
この記事は次のような人にオススメです
- ネット証券で口座開設をしようと考えている人
- SBI証券のセキュリティに関心がある人
この記事の目的
SBI証券から2020年9月に公表された不正アクセス事件の調査報告がリリースされているので紹介します。
2020年1月22日のプレスリリースで以下の報告が公開されています。
悪意のある第三者による不正アクセスに関する調査報告及び再発防止策について | SBI証券
報告書は13ページとボリュームがあるのでポイントをまとめて紹介します。
SBI証券の不正アクセス事件調査報告
事件の概要
被害状況
出金までされたのが6口座、出金はされなかったけど資産の売却があったのが5口座とのこと。
2020 年 7 月から 9 月にかけて、当社の 6 名のお客さまの口座において、お客さまの身に覚えのない出金先の銀行口座変更、有価証券売却及び当該銀行口座への出金が行われました。
また、その他の 5 名のお客さまの口座において、不正出金には至らなかったものの、有価証券の売却が不正に行われました。
- 被害口座数:6 口座
- (不正出金には至らなかったものの、有価証券の不正売却が行われたその他の被害口座数:5 口座)
- 被害総額:不正出金合計 9,864 万円(ゆうちょ銀行:9,229 万円、三菱 UFJ 銀行:635 万円
- (その他の不正売却合計:7,184 万円)
犯行の手口
攻撃者はアカウントやパスワードのリストを持っていた可能性があるようです。
本件において攻撃者は、当社のメインシステムサイトに対して、何らかのリストを元にログイン試行を繰り返すリスト型アカウントクラッキングの手法により不正ログインを実行したと考えられます。
不正ログインを行った攻撃者が、(中略)1,000 以上のアカウントへのログインを試みたことを確認しております。
不正ログインに成功した攻撃者は、出金先銀行口座の変更ページにアクセスし、取引パスワードを入力したうえで、不正に作られたお客さま名義の銀行口座に変更したと考えられます。
取引パスワードを入力するにあたっては、複数種類のパスワードの入力試行が複数回なされたものと思われます。
攻撃者は、銀行口座への出金ページにアクセスし、同様に取引パスワードを入力したうえで、既に変更を行った銀行口座への出金を実行するに至ったと考えられます。
【参考】リスト型アカウントクラッキングとは?
リスト型アカウントクラッキングとは攻撃対象のサイトとは別のサイトで漏えいしたIDとパスワードの一覧(リスト)を使って攻撃対象のサイトへログインを試みる手法です。
つまり利用者がパスワードを使いまわしていた可能性や、利用者が使っていた他所のサイトがIDとパスワードを漏えいさせていた可能性があったのかもしれません。
調査方法
外部の専門家による調査が実施されています。
当社と利害関係を有しない外部の専門家から構成される第三者委員会を設置し、調査・報告を受けたほか、サイバーセキュリティ対応に実績のある外部企業による調査も行っております。
調査にあたっては、各種資料、各種アクセスログなどの電子データの分析、当社及びその関係者に対するヒアリング、当社の端末のフォレンジック調査等を実施いたしました。
当初発見されたお客さま以外に被害のあったお客さまが存在しないか、お客さまへの直接確認等の方法により社内調査を継続して行っております。
【参考】フォレンジック調査とは?
ITの世界ではデジタル・フォレンジックといって、セキュリティ・インシデントが発生した場合に、外部ベンダーへ証拠データの調査・復旧を依頼することです。
ものすごく費用と時間が掛かりますが、何もわからないことも多いと聞いたことがあります。
原因の分析
以下の点について3ページに渡って反省点があげられています。
再発防止策
技術面における再発防止策
以下の具体的な施策が述べられています。
すでに実施済みのものは以下のとおりです。
ご登録情報変更・出金時等のメール配信について | SBI証券
当社サイトにおけるお客さま情報のマスキング対応について | SBI証券
【参考】FIDO認証とは?
FIDO認証とはFast IDentity Online(素早いオンライン認証)の略語でMFA(多要素認証)のひとつです。
FIDO認証は指紋や虹彩情報を使った生体認証がベースとなっています。
ガバナンス面における再発防止策
以下の点について2ページに渡って今後の取り組みがあげられています。
【参考】レガシーシステムとは?
古くなったシステムのことです。
OSやアプリケーションが古くてサポートがないのにもかかわらず、企業では様々な事情でシステムが残り続けなくてはならないことが多々あります。
レガシーシステムはセキュリティホールが残ったままなので好ましくありません。
内部犯行の可能性について
内部犯行の可能性はないようです。
現時点において不審な点は認められておりません。
第三者委員会及び外部企業による調査も行っております。そのような外部調査においても現時点で不審な点は見つかっておらず、内部犯行の可能性は極めて低いとの見解を得ております
関係者の社内処分
役員5名の減俸、北尾会長の報酬返納といった社内処分が実施されています。
セキュリティ対策を実施してお金の安全を確保しましょう
ここからは私個人の感想です。
SBI証券の不正アクセス事件は犯人逮捕に至っておらず、犯行手口も推測の域を出ません。
ただし状況証拠としては報告書にあるとおり「リスト型アカウントクラッキング」と考えるのが妥当なのでしょう。
これが事実であればSBI証券だけの責任ではないのかなー、というのが私の感想です。
ただそうは言ってもSBI証券としては「利用者の不注意だ」では済まされないでしょう。
以前から証券口座はネット銀行に比べてセキュリティ対策の導入が遅れている点が指摘されていたので、反省点がまったくなかったわけでもないと思います。
今回の報告書にも第三者委員会から指摘事項があげられているとおりです。
こうした背景から今後は証券口座においても本格的にサイバー犯罪対策が進められることでしょう。
今回の事件をきっかけに各ネット証券でも対策が進んでいます。
利用者としては最低限のお作法を守りさえすれば証券口座は安全です。
また各ネット証券が導入し始めているMFA(多要素認証)を利用していれば不正アクセスについてはほぼ防げると考えて差し支えないでしょう。
まとめ
今回は2020年9月に発覚したSBI証券の不正アクセス事件の調査報告を紹介しました。
犯人が捕まっておらず手口などは推測の域を出ませんが、SBI証券としては再発防止に努めるとしています。
我々証券口座の利用者としてもこうした事件を教訓に自分の資産は自分で守れるよう日頃から備えておく必要があるでしょう。
★投資デビューはスマホ証券がおすすめ!
★自動運用を始めるなら次世代ロボアドのSUSTENがおすすめ!
★知ってた?インデックス投資×株式オプションで時代を先取り!
★これからインデックス投資を始める方は参考にどうぞ!
★ネット回線は工事不要で即日使えるWiMAXがおすすめ!
